Постоянно открываются вкладки с казино [not-a-virus:AdWare.Win32.Agent.kczo ]

**Hisama** · 12.01.2017, 01:28

Здравствуйте, каждые 10-20 минут открываются вкладки с различными сайтами казино. Даже когда браузер закрыт, он сам открывается, чтобы открыть те же сайты. Также знаю, что на компе много других мелких вирусников, хотелось бы от них избавиться ><

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.01.2017, 01:30

Уважаемый(ая) Hisama, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 12.01.2017, 07:16

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

-[HTTP][RO] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NTI Media Maker 9\NTI Media Maker 9.lnk"     -> ["C:\Program Files (x86)\NTI\NTI Media Maker 9\LauncherLoader.exe"  =>> "hxxp://wowsiteru.ru"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net\Вattlе.net.lnk"      -> ["C:\Users\802913\AppData\Roaming\Browsers\exe.rehcnual ten.elttab.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Stаr Wars - The Оld Rеpubliс.lnk"         -> ["C:\Users\802913\AppData\Roaming\Browsers\exe.rehcnual.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone\Неarthstonе.lnk"    -> ["C:\Users\802913\AppData\Roaming\Browsers\exe.rehcnual ateb enotshtraeh.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Transformice.lnk"     -> ["C:\Program Files (x86)\Transformice\Transformice.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlusMo - накрутка Вконтакте\PlusMo - запустить.lnk"           -> ["C:\Users\802913\AppData\Local\PlusMo\PlusMo.exe"  =>> -r]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlusMo - накрутка Вконтакте\PlusMo - проверить обновления.lnk"          -> ["C:\Users\802913\AppData\Local\PlusMo\PlusMo.exe"  =>> -c]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paws - A Shelter 2 Game [GOG.com]\Paws - A Shelter 2 Game.lnk"          -> ["C:\GOG Games\Paws - A Shelter 2 Game\Paws.exe"]
>>>  "C:\Users\802913\Desktop\Может быть когда-нибудь\Paws - A Shelter 2 Game.lnk"         -> ["C:\GOG Games\Paws - A Shelter 2 Game\Paws.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paws - A Shelter 2 Game [GOG.com]\Uninstall Paws - A Shelter 2 Game.lnk"          -> ["C:\GOG Games\Paws - A Shelter 2 Game\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameNet.lnk"          -> ["C:\Program Files (x86)\QGNA\qGNA.exe"]
>>>  "C:\Users\802913\Desktop\Барахло\GameNet.lnk"           -> ["C:\Program Files (x86)\QGNA\qGNA.exe"]
>>>  "C:\Users\802913\Desktop\Барахло\BlueStacks.lnk"        -> ["C:\Program Files (x86)\Bluestacks\BlueStacks.exe"]

Отчёт о работе прикрепите.

Удалите браузер Amigo, если не сами установили, и/или не используете.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\ghostery storage server\ghstore.exe');
 TerminateProcessByName('c:\program files (x86)\iobit\liveupdate\liveupdate.exe');
 TerminateProcessByName('c:\users\802913\appdata\roaming\tablacusapp\tablacusapp.exe');
 StopService('Ghostery Storage Server');
 StopService('LiveUpdateSvc');
 QuarantineFileF('c:\program files (x86)\ghostery storage server', '*.exe', true, '', 0 , 0);
 QuarantineFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '');
 QuarantineFile('c:\users\802913\appdata\roaming\tablacusapp\tablacusapp.exe', '');
 QuarantineFile('C:\Users\802913\AppData\Roaming\SearchAY\python\pythonw.exe', '');
 QuarantineFile('C:\Users\802913\AppData\Roaming\SearchAY\launchall.py', '');
 QuarantineFile('C:\Users\802913\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Users\802913\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '');
 QuarantineFile('C:\Users\802913\AppData\Local\MSCInfo\MSCInfo.exe', '');
 DeleteFile('c:\program files (x86)\ghostery storage server\ghstore.exe', '32');
 DeleteFile('c:\users\802913\appdata\roaming\tablacusapp\tablacusapp.exe', '32');
 DeleteFile('C:\Users\802913\AppData\Roaming\SearchAY\python\pythonw.exe', '32');
 DeleteFile('C:\Users\802913\AppData\Roaming\SearchAY\launchall.py', '32');
 DeleteFile('C:\Users\802913\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Users\802913\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '32');
 DeleteService('Ghostery Storage Server');
 DeleteFileMask('c:\program files (x86)\ghostery storage server', '*', true);
 DeleteFileMask('c:\users\802913\appdata\roaming\tablacusapp', '*', true);
 DeleteFileMask('c:\users\802913\appdata\roaming\searchay', '*', true);
 DeleteFileMask('c:\users\802913\appdata\roaming\0c1i1l1r1j0m1p0i1g', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\ghostery storage server');
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\users\802913\appdata\roaming\tablacusapp');
 DeleteDirectory('c:\users\802913\appdata\roaming\searchay');
 DeleteDirectory('c:\users\802913\appdata\roaming\0c1i1l1r1j0m1p0i1g');
 DeleteDirectory('C:\Program Files (x86)\Zaxar');
 ExecuteFile('schtasks.exe', '/delete /TN "RunAsStdUser_GameCenterMailRu" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchAY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "hitsnews" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{D999C6FE-48E8-468C-8AA0-F8AA0F28D9D2}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SearchAY');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TablacusApp');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог Malwarebytes AdwCleaner.

**Hisama** · 12.01.2017, 14:58

Карантин отослала. Благодарю за быстрый ответ х)

**Vvvyg** · 12.01.2017, 19:02

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Hisama** · 12.01.2017, 21:07

Буду следить, скоро отпишусь.

- - - - -Добавлено - - - - -

Только что вкладка с вулканом опять открылась сама :с

**Vvvyg** · 12.01.2017, 21:16

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Hisama** · 12.01.2017, 21:23

Эх...

**Vvvyg** · 12.01.2017, 22:09

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
(TeamViewer GmbH) C:\Users\802913\AppData\Roaming\DIFX\dpinst.exe
HKU\S-1-5-21-4277879503-1842119739-1482883595-1002\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe
HKU\S-1-5-21-4277879503-1842119739-1482883595-1002\...\Run: [dpinst] => C:\Users\802913\AppData\Roaming\DIFX\dpinst.exe [7293280 2013-02-19] (TeamViewer GmbH)
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  -> No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  -> No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  -> No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSK => not found
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [No File]
FF Plugin-x32: pmang.jp/pmangsupport-1 -> C:\Games\kek\BlackDesert_live\GameOn\Common files\Plugin\nppmangsupport.dll [No File]
FF Plugin HKU\S-1-5-21-4277879503-1842119739-1482883595-1002: @mail.ru/GameCenter -> C:\Users\802913\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=818410","hxxp://mail.ru/cnt/10445?gp=818408"
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [3046688 2016-07-29] (IObit)
R2 MSCInfo; C:\Users\802913\AppData\Local\MSCInfo\MSCInfo.exe [94464 2017-01-11] (Digital Action Consulting LTD)
C:\Program Files (x86)\IObit
S3 MBAMFarflt; \??\C:\WINDOWS\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\WINDOWS\system32\drivers\mbam.sys [X]
S3 MBAMWebProtection; \??\C:\WINDOWS\system32\drivers\mwac.sys [X]
2017-01-11 17:35 - 2017-01-11 17:35 - 00000000 ___HD C:\Users\802913\AppData\Roaming\DIFX
2017-01-11 16:58 - 2017-01-11 16:59 - 00000000 ____D C:\Users\802913\AppData\Local\MSCInfo
2016-12-28 23:05 - 2016-12-28 23:05 - 00000000 ____D C:\Users\Все пользователи\boost_interprocess
2016-12-28 23:05 - 2016-12-28 23:05 - 00000000 ____D C:\ProgramData\boost_interprocess
2014-08-10 19:21 - 2014-08-10 19:21 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2014-01-29 16:07 - 2014-01-29 16:07 - 0000212 _____ () C:\Users\802913\AppData\Local\poetsch.bat
CustomCLSID: HKU\S-1-5-21-4277879503-1842119739-1482883595-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\802913\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => No File
Task: {002FB127-2570-4203-9B63-11F444E305F6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {3998A7F7-DFCE-44E8-B1BC-8E4630C12032} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {695D33A8-3309-4DFC-ADE1-6C9821677FB3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {8B6422A5-6505-4B78-8640-5D061121F3A6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {96D98B05-6F34-4C6B-9168-EF7F0CBFFC17} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {9ED77FCE-17BD-4F04-9D96-7BFFB3825444} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {ADC61DD8-BA6D-4E01-AE0D-78F479E59D89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B026CA02-BBCD-4CA6-8A83-FBE0D8F6BC4F} - System32\Tasks\{53A3C229-A028-4231-A867-3FB029642533} => pcalua.exe -a "C:\Program Files\utvideo\unins000.exe"
Task: {C57C6D67-B55C-4727-A42F-F68B118E01CA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {CD170006-2C5D-4BC4-BB9D-1EA5559B6B53} - System32\Tasks\dominantentfen => Chrome.exe hxxp://dominantentfen.ru/odoketasm
Task: {DDD241E4-B4B1-4992-B068-2EAAF71A1EF8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {E33299FA-7E2B-4FAB-9616-0149F4F0B8A0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {EEC2D651-1DEF-49B9-8D1B-5A6753420787} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
HKU\S-1-5-21-4277879503-1842119739-1482883595-1002\...\StartupApproved\Run: => "RegistryCleanMaster"
FirewallRules: [{233F0328-4193-43EB-932A-63015E6951B5}] => C:\Users\802913\AppData\Local\Temp\is-VJIH5.tmp\setup21905.tmp
FirewallRules: [{40C04CC3-F4CE-4F9A-A425-6163EBA2724B}] => C:\Users\802913\AppData\Local\Temp\is-VJIH5.tmp\setup21905.tmp
FirewallRules: [{5F49152E-DC99-4EF0-A1E4-BDE31C0F85EE}] => C:\Users\802913\AppData\Local\Temp\is-IKHQ4.tmp\setup21388.tmp
FirewallRules: [{3C43EFE2-7395-4C5D-8A2E-F58C3C9DDC3F}] => C:\Users\802913\AppData\Local\Temp\is-IKHQ4.tmp\setup21388.tmp
FirewallRules: [{93B8806C-C037-4E9C-8430-0554E9C0C5EB}] => C:\Users\802913\AppData\Local\Temp\is-CEIR4.tmp\setup4432.tmp
FirewallRules: [{2CC6F672-2831-4F71-B0D1-862F39EA7FF0}] => C:\Users\802913\AppData\Local\Temp\is-CEIR4.tmp\setup4432.tmp
FirewallRules: [{ADCFED43-C59A-4CB9-9239-1169B77F9142}] => C:\Program Files (x86)\VuuPC\RemoteEngine.exe
FirewallRules: [{5E85328A-9497-4B00-919E-9D5EFA051CF9}] => C:\Program Files (x86)\VuuPC\Connectivity.exe
FirewallRules: [{EBAAC248-1633-43F8-99AC-9A7ACF08E376}] => C:\Users\802913\AppData\Local\Temp\is-K78NA.tmp\setup19715.tmp
FirewallRules: [{68E6EB50-0F12-4CDE-A6EA-8ECB127593A0}] => C:\Users\802913\AppData\Local\Temp\is-K78NA.tmp\setup19715.tmp
FirewallRules: [{CCE99EF9-3078-49CC-B0FA-939EF24C5B51}] => C:\Users\802913\AppData\Local\Amigo\Application\amigo.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]
Отключите до перезагрузки все экраны Avast, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Hisama** · 13.01.2017, 00:51

За проблемой наблюдаю, скоро отпишусь.

- - - - -Добавлено - - - - -

Пока что вкладки больше не открывались. Надеюсь, проблема решена. Если это так, огромное вам спасибо за помощь с:

**Vvvyg** · 13.01.2017, 08:17

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 13.01.2017, 08:27

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\ghostery storage server\ghstore.exe - not-a-virus:AdWare.Win32.Agent.kczo

Постоянно открываются вкладки с казино [not-a-virus:AdWare.Win32.Agent.kczo ] (заявка № 207976)

Опции темы